ウイルス情報:「Soberワーム(W32.Sober.D@mm)」にご注意ください

このページの本文へ移動

ホーム >
FMVサポート >
Q&A・パソコン活用情報をコーナーから探す >
ウイルス・セキュリティ情報 >
重要なお知らせ >
ウイルス情報:「Soberワーム(W32.Sober.D@mm)」にご注意ください

2004年3月9日
富士通株式会社

W32.Sober.D@mmは、大量メール送信型のワームです。
このウイルスは、パソコン内で見つけたあらゆるメールアドレスに対してW32.Sober.D@mmのコピーを添付ファイルとして送信し、感染を広げます。メール送信時に送信者情報を詐称するため、送信者の特定を困難にします。

以下のようなメールに添付されている、ファイルを実行しないでください。
ウイルス対策ソフトの定義ファイルの更新など、対策をお願いいたします。

1. 特徴

送信される電子メールには次の特徴があります。

差出人

次のように、マイクロソフト社からのメールを装っています。

［送信者名］@microsoft.com

［送信者名］

次のいずれかになります。

	Info	Center
	UpDate	News
	Help	Studio
	Alert	Patch
	Security

件名

次のような英語、またはドイツ語の件名になります。

［英語の場合］
	Microsoft Alert: Please Read! Message-ID: <［不特定な文字列（※）］.qmail@microsoft.com>

［ドイツ語の場合］
	Microsoft Alarm: Bitte Lesen! Message-ID: <［不特定な文字列（※）］.qmail@microsoft.com>

（※）お客様の環境ごとに、異なる文字列として送信されます。
例）「pgkwshfbakbgok」、「dmsym」など

本文

次のような英語、またはドイツ語のメッセージになっています。

［英語の場合］

New MyDoom Virus Variant Detected!
A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly through the Internet.
Anti-virus vendor Central Command claims that 1 in 45 e-mails contains the MyDoom virus.
The worm also has a backdoor Trojan capability.
By default, the Trojan component listens on port 13468.
Protection:
Please download this digitally signed attachment.
This Update includes the functionality of previously released patches.

+++ ?2004 Microsoft Corporation. All rights reserved.
+++ One Microsoft Way, Redmond, Washington 98052
+++ Restricted Rights at 48 CFR 52.227-19

［ドイツ語の場合］

Neue Virus-Variante W32.Mydoom verbreitet sich schnell.
Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet.
Wie seine Vorg?nger verschickt sich der Wurm von infizierten Windows-Rechnern per E-Mail an weitere Adressen.
Zudem installiert er auf infizierten Systemen einen gef?hrlichen Trojaner!
F?hrende Virenspezialisten melden bereis ein vermehrtes Aufkommen des W32.Mydoom alias W32.Novarg.
Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Sch?dling zu sch?tzen!

+++ ?2004 Microsoft Corporation. Alle Rechte vorbehalten.
+++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse
+++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943

添付ファイル

次のようなファイル名と拡張子の組み合わせになっています。

［ファイル名］［不特定な数字］.［拡張子］

［ファイル名］
	次のいずれかになります。

	Patch
	MS-Security
	MS-UD
	UpDate
	sys-patch
	MS-Q

［不特定な数字］
	お客様の環境ごとに異なる数字が入ります。

例）	「17852」
	「3679596042」
	など

［拡張子］

次のいずれかになります。

	zip
	exe

また、感染すると以下の内容が実行されます。

ウイルスの実行時に次のいずれかの偽のメッセージを表示します。
「This patch has been successfully installed.」
「This patch does not need to be installed on this system.」

「

Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [filename].exe
Connection lost or blocked by Firewall

」

Windowsのシステムフォルダに「smss32win.exe」という名前で自分自身のコピーを作成します。

Windowsのシステムフォルダに「temp32x.data」、「wintmpx33.dat」、「Humgly.lkur」、「yfjq.yqwm」、「zmndpgwf.kxx」という名前のファイルを作成します。

Windowsの起動時にウイルスが実行されるように設定します。

感染したパソコン内にある拡張子が「abd」、「adb」、「asp」、「dbx」、「doc」、「eml」、「ini」、「log」、「mdb」、「php」、「pl」、「rtf」、「shtml」、「tbb」、「ttt」、「txt」、「wab」、「xls」のファイルから電子メールアドレスを収集し、自分自身を送信します。

2. 影響を受けるOS

このウイルスは以下のOSを使用しているPCに感染します。

・	Windows XP
・	Windows Millennium Edition
・	Windows 98
・	Windows 95
・	Windows 2000
・	Windows NT
・	Windows Server 2003

3. 影響を受けないOS

このウイルスは以下のOSを使用しているPCには感染しません。

・	Windows 3.x
・	DOS
・	Linux
・	Macintosh
・	OS/2
・	UNIX

4. 予防方法

このウイルスは、電子メールの添付ファイルを使って感染を広めます。
上記の特徴を持った電子メールに添付されているファイルは開かないようにしましょう。

また、最新のウイルスに対応できるように、Norton Internet Securityなどのウイルス対策ソフトを利用し、最新のウイルス定義ファイルが提供されていないか常にチェックするようにしましょう。

5. 感染時の対処方法

Norton Internet Securtiyなどのウイルス対策ソフトをお使いの方は、最新のウイルス定義ファイルをダウンロードし、パソコン全体に対してウイルスチェックをかけて駆除をおこなってください。

詳しくは、以下の参考情報をご覧ください。

6. 参考情報

ウイルス感染の対処・予防方法については、以下を参考にしてください。

＜ウイルスの詳細＞

「Soberワーム(W32.Sober.D@mm)」詳細情報（株式会社シマンテック）
→ http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sober.d@mm.html

最新のウイルス情報はこちらをご覧ください
→ http://www.symantec.co.jp/region/jp/sarcj/index.html

＜ウイルス対策について＞

「もしウイルスに感染してしまったら…」
→ http://azby.fmworld.net/support/security/practice/practice03.html

「Norton Internet Securityでセキュリティ対策！（ウイルス編）」
→ http://azby.fmworld.net/support/security/practice/practice04.html

- 以上 -

ページの先頭へ